Breaking News

พบช่องโหว่ ‘TORMOIL’ บน Tor Browser ระดับความรุนแรงสูงเตือนควรอัปเดต

Tor Project ออกแพตซ์อุดช่องโหว่ที่ทำให้ IP จริงของผู้ใช้งาน Tor Browser เวอร์ชัน 7.0.8 บน macOS และ Linux รั่วไหลออกสู่สาธารณะ เตือนให้ผู้ใช้งานอัปเดต Browser เวอร์ชันล่าสุดโดยด่วน

Tor Project ได้โพสต์ว่า “สืบเนื่องจาก Bug ที่เกิดขึ้นใน Firefox Browser เกี่ยวกับการจัดการ ‘file://’ URLs ซึ่งมีความเป็นไปได้ที่ข้อมูล IP ของผู้ใช้งานจะสามารถรั่วไหลได้ โดยเมื่อผู้ใช้งานใส่ URL แบบพิเศษนี้ลงไปในหน้า Browser ระบบปฏิบัติการจะ Bypass Tor Browser ไปยังเครื่อง Host โดยตรงเนื่องจาก Tor Browser ตั้งอยู่บน Firefox อีกทีหนึ่ง แม้ว่าโพสต์จะบอกว่าผู้ใช้งาน Tails หรือการใช้งาน Browser ที่มีฟังชันก์ AppArmor และการใช้งาน Tor Browser Sandbox จะไม่ได้รับผลกระทบในครั้งนี้ แต่ยังไม่เป็นที่แน่ชัดว่าเวอร์ชันก่อนหน้า 7.0.8 ได้รับผลกระทบด้วยหรือไม่

ผู้ค้นพบช่องโหว่นี้คือ Fillipo Cavallarin CEO จาก We Are Segment ได้แจ้งเตือนไปยัง Tor Project เมื่อวันที่ 26 ตุลาคม 2017 และทีมงาน Tor ก็ได้รับความช่วยเหลือจากที Mozilla เพื่อแก้ปัญหานี้ชั่วคราวในวันถัดมา ต่อมาวันที่ 31 ตุลาคม ทางทีม Tor ก็ได้ออกแก้ไขเพิ่มเติมให้ทุกรอยรั่วที่รู้  โดยทีมงาน Tor กล่าวว่า “Tor Browser เวอร์ชัน 7.0.9 นั้นเป็นเพียงการแก้ไขปัญหาชั่วคราวจากการรั่วไหลของ IP ที่อาจจะเกิดขึ้นได้จากการใส่ file://URLs ไม่ให้เกิดผลอย่างที่คิดกันไว้ และทีมงานคาดว่าจะออกแพตซ์เพิ่มเติมบน MacOS และ Linux สำหรับ Browser 7.0.9 เวอร์ชัน Alpha ภายในวันที่ 6 พฤศจิกายนนี้

Tor Project ได้ออกโครงการ Bug Bounty เมื่อเดือนกรกฎาคม เพื่อสนับสนุนให้นักวิจัยด้านความปลอดภัยแจ้งเตือนปัญหาที่พบภายใน Software มาที่ทีมงานแบบไม่เปิดเผย โดยโครงการนี้จะเปิดโอกาสให้กับนักล่า Bug ทุกคนผ่านหน้าเพจ HackerOne ไม่หมือนกับโครงการก่อนหน้าที่เปิดเฉพาะผู้ที่ได้รับคำเชิญเท่านั้น

ที่มา : https://threatpost.com/tor-browser-users-urged-to-pathch-critical-tormoil-vulnerability/128769


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เชิญร่วมงานสัมมนา Cisco Data Center Innovation Day ประจำปี 2018

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชั้นนำของโลก เตรียมจัดงานสัมมนาประจำปี Cisco Data Center Innovation Day 2018 พร้อมอัปเดตแนวโน้มทางด้าน Data Center …

เตือนช่องโหว่ 13 รายการบน FreeRTOS เสี่ยงถูกเข้าควบคุมระบบ IoT ได้

Ori Karliner นักวิจัยด้านความมั่นคงปลอดภัยจาก Zimperium Security Labs (zLabs) ออกมาเปิดเผยถึงช่องโหว่บน FreeRTOS และเวอร์ชันปรับปรุงของ Amazon และ WHIS รวมทั้งสิ้น 13 …